AIで脆弱性が増えた今、実際に悪用されているのは何なのか?

測る道具も性質が違います。CVE件数は「発見」であって悪用とは別物。KEVは「確認された悪用」で、CISA KEVは無償・低ノイズですが保守的、VulnCheck KEVは広いものの exploit intelligence を販売する企業の発表です。EPSS(FIRST)は悪用される確率の予測で、実際の悪用記録ではありません。 そして最大の前提として、どのKEVも「既知・観測・報告された」悪用＝下限値であり、検知されない暗数があります。CISA KEVは同庁の処理能力や選定方針にも左右されます。なので「KEVに無い＝安全」とは言えませんし、KEVの増減だけで悪用の総量を語ることもできません。 2. 件数は増えた。でも“悪用される割合”は爆発していない まず、よくある「CVEが爆発した」という話を整理しておきます。 公開CVEは2023→2025で約29,066→≈48,185と激増しまし

[misshiki]

CVE件数は増えたが悪用率は約1％で爆発していない。変化の本質は悪用の速さとエッジ機器への偏り。エッジ/VPNは脆弱性悪用侵害で3％→22％に増加し、速いパッチだけでなく露出最小化と装置側検知が必要。

[dorapon2000]

“新しいのは2つ——①構成比のジャンプ:脆弱性悪用を入口とした侵害のうちエッジ/VPNが3%→22%(Verizon DBIR、約8倍)、②前倒し:悪用が“CVE公開と同時か、それより前”に来る割合が増えていること。”

[IGA-OS]

エッジ機器のお守りをする立場としては、はやくパッチ適用して被害を最小限にする緩和策もするってことにしかならず

[defiant]

この記事をおすすめしました